Sprawdzone ustawienia zasady zapory dla klientów zdalnych

Sprawdzone ustawienia zasady zapory przedstawiają scenariusze i zalecane sprawdzone ustawienia.
Sprawdzone ustawienia zasady zapory
Scenariusz
Zalecenie
Lokacja zdalna, w której użytkownicy logują się bez użycia sieci VPN
  • Należy przypisać najbardziej restrykcyjne zasady zabezpieczeń klientom logującym się zdalnie bez użycia sieci VPN.
  • Włączenie ochrony systemu NetBIOS.
    Nie należy włączać funkcji ochrony systemu NetBIOS dla lokalizacji, w której klient zdalny jest zalogowany do sieci firmowej przez sieć VPN. Reguła ta ma zastosowanie tylko w przypadku, gdy klienci zdalni są połączeni z Internetem, a nie siecią firmową.
  • Aby zwiększyć bezpieczeństwo, można także zablokować cały lokalny ruch TCP na portach 135, 139 i 445 systemu NetBIOS.
Lokacja zdalna, w której użytkownicy logują się przez sieć VPN
  • Należy pozostawić bez zmian wszystkie reguły blokujące ruch na wszystkich kartach sieciowych. Nie należy ich zmieniać.
  • Należy pozostawić bez zmian regułę, która zezwala na ruch VPN na wszystkich kartach sieciowych. Nie należy jej zmieniać.
  • Dla wszystkich reguł z działaniem Zezwalaj, w kolumnie Karta sieciowa należy zmienić pozycję Wszystkie karty na nazwę używanej karty VPN.
  • Należy włączyć regułę, która blokuje cały pozostały ruch.
Wszystkie te zmiany należy wprowadzić, aby uniknąć możliwości dzielonego tunelowania przez sieć VPN.
Lokalizacje biurowe, w których użytkownicy logują się przez połączenia sieci Ethernet lub bezprzewodowej
Należy użyć domyślnej zasady zapory. W przypadku połączeń bezprzewodowych należy się upewnić, że włączona jest reguła zezwalająca na bezprzewodowy protokół EAPOL. Protokół 802.1x używa protokołu EAPOL (Extensible Authentication Protocol over LAN) do uwierzytelniania połączeń.